内容提要:个人信息可携权既具有增进个人选择自由、促进数据流通与再利用、推动数字市场公平竞争的功能,同时也可能带来个人数据联结的多元主体权益冲突、加剧数据流动风险、引发技术创新受阻、反向损害公平竞争等问题。有别于个人信息权利束中的知情权、决定权等权利所体现的程序正义价值,可携权主要涉及的是数据治理中多元主体之间利益的分配正义。应当在平衡个人信息权益、平台数据权益、数据市场竞争秩序和创新以及数据安全等多元视角下,对个人信息可携权的性质和功能进行界定,将其作为数据治理中的一项规制策略性工具。对个人信息可携权的行使应设置相应适用条件,通过采取部门化、场景化的方法,吸纳多元主体参与,完善监管机制中的程序要素和机制安排,并通过动态化和反思性调适持续促进分配正义。
关键词:个人信息可携权 分配正义 个人信息权利束 数据治理
一、问题提出与界定
个人信息可携权(right to data portability)是一个诱人的观念。在个人与高度组织化的个人信息处理者之间的不对称权力结构中,赋予弱势一方的个人获取个人数据并加以“再利用”的权利,这不仅具有道义上的力量,对个人也是一种心理上的抚慰。在个人数据被大规模、持续性处理的时代场景中,可携权的观念呼应了个人面对大规模数据处理活动所产生的焦虑感,在一定程度上强化了个人对个人数据自主控制角色想象的建构。正是这种个人对数据控制者进行“制衡”的观念,催生了个人在数据处理活动中的知情、决定、访问、复制、删除等权利的集合,或称“个人信息权利束”。个人数据可携权正是这组权利集合中最新被引入的内容。
可携权观念经由欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)形成一项个人在其个人数据处理活动中的权利,该条例对数据可携权的规定主要集中在第20条。在《一般数据保护条例》的框架中,数据可携权是一个广义概念,包含了个人向数据控制者查询、复制数据的权利(right to access)以及要求数据控制者将与其有关的个人数据转移到另一个数据控制者的权利(right to request data transmission),后者与前者都要求数据是“机器可读、普遍可用、结构化的”。与上述宽泛的理解相比,狭义的数据可携权主要指数据的“可携性”(portability),在数据处理场景中主要指个人享有请求数据控制者将数据传输给指定的新的数据处理者(即数据接收者)的权利。
在欧盟委员会看来,随着信息技术的发展,保护个人数据不仅具有政治意义,也具有经济意义,因为数据保护有助于构建数字环境下的信任,促进更多的在线交流和交易活动,这对于经济发展和技术创新具有重要意义。个人数据可携权就是用于追求数字信任建设的一个制度创新。尽管欧盟立法者在反复调整相关条文后将数据可携权正式引入到立法之中,但可携权作为一项新型权利,在具体的权利行使实践中对个人信息保护、产业创新、数据安全以及公平竞争到底会产生什么样的影响,仍是一个饱受争议的话题。这一权利实践如何展开、效果如何,仍有待观察和评估。仅仅通过《一般数据保护条例》第20条的规定,也无法理解数据可携权所蕴含的各种价值和利益竞争,而这些复杂的价值和利益竞争,将决定该项权利的实践展开及其未来命运。也许是考虑到数据可携权的内在张力及其实践难题,作为欧盟个人数据保护立法解释权威机构的欧盟第29条工作组,于2016年12月制定了《个人数据可携权指南》(Guidelines on the Right to Data Portability),并于2017年4月对该指南作出新的修订。不过到目前为止,数据可携权的规定仍然只是“鼓励性的”而非“强制性的”要求,这也反映了在个人数据可携权的实践问题上,国家仍持一种谨慎立场。无独有偶,在英国、美国等国家中,可携权的引入及实践方式也面临着巨大争议,立法者与监管者对是否应广泛引入可携权、如何适用可携权等问题都持较为审慎的态度。
立法者和监管者的这种谨慎立场,从另外一个角度折射出数据可携权所涉及的多种价值和利益之间的竞争甚至冲突。因此,作为一种促进个人信息权益与数据处理者利益、技术创新和产业发展之间“再平衡”的规制策略性工具,如何权衡可携权对各种相关利益和价值的所产生的影响,成为可携权制度安排中的理论和实践焦点。
对于可携权,我国学界已有所关注,但其具体权能与落实仍存在较大争议。我国《个人信息保护法》第45条规定了个人对其个人信息的查询、复制以及迁移权,从而在规则层面确立了个人对其个人信息的可携权。《个人信息保护法》在一审稿、二审稿中规定了个人在数据处理活动中享有对其个人信息的查询、复制权;三审稿进一步增加了狭义的可携权。从立法过程论的角度看,这反映出立法者对引入个人信息可携权的斟酌权衡。如果考虑到《个人信息保护法》关于狭义可携权行使条件的开放性,可以发现关于个人信息可携权的规定,仍然只是一个授权性的、开放性的条款;个人信息可携权的行使,将取决于未来对该项权利启动和行使之具体条件的设定。立法者为何在个人信息保护法制定过程最后阶段“临门一脚”增加狭义可携权?如何理解个人信息可携权的性质和功能?如何设定个人信息可携权的行权条件?这些问题将是《个人信息保护法》实施中个人信息可携权实践展开的关键。本文尝试对上述问题进行探讨。
二、可携权的性质及功能
个人数据可携权最早由欧盟引入,后为美国加州、新加坡、澳大利亚等地的立法所参考。为何这些地区的立法提出可携权?可携权的主张理据是什么?这些理据又面临哪些批评?对这几个问题的回顾,有利于我们还原可携权的真实面貌,从而更好地理解该项权利的性质及功能。
(一)数据可携权的正当性理据
1. 可携权作为制衡性的个人“充权”手段
赋予数据主体可携权的首要目标是为数据主体进行“充权”。在个人与大规模、组织化的数据处理者之间,存在着不对称的权力结构。个人信息保护立法的根本目标在于对个人数据处理活动进行干预和规制,而不是由个人与数据控制者进行力量悬殊的博弈。因此,个人数据保护立法的一项重要规制目标便在于缓和现实中存在的个人与数据处理者之间的不对称权力结构。广义的数据可携权所包含的权能,特别是“数据迁移权”,可以降低个人对特定数据控制者的依赖度,赋予数据主体摆脱受特定数据控制者“锁定”及选择替代性服务的能力。用经济学的思路分析,也就是数据可携权可降低用户的“切换成本”(switching cost),防止用户被“锁定”于某个服务商,因而在一定程度上增加了用户选择的能力和自由,增强了其对整个数字环境的信任。
2. 可携权作为数据再利用的权利
个人对其数据的广义的可携权也意味着数据主体对数据进行“充分再利用”的权利。个人首先有权在电子环境下以特定的形式复制个人数据,这可以增进个人的便利;在此基础上,数据迁移可帮助用户更便捷地切换服务商,进而打破锁定效应、获取更加多元且优质的服务。从立法原意观察,欧盟委员会在2012年关于《一般数据保护条例》的最初议案中明确指出,数据可携权是重建网络环境下交易信任的重要工具,而重建信任的重要策略就是增强个人对数据的控制。其中“重述”第68条(Recital 68)亦指出“数据可携权将进一步增强个人对数据的控制”。总的来说,这种“再利用”表明个人对其数据的某种控制能力。那么,这种“控制”的规范内涵是什么?数据可携权所指向的“控制”属于何种法律性质的控制?对上述问题的回答可以从三个方面具体展开:其一,可携权与作为基本权利的个人数据受保护权是何种关系?其二,可携权与个人数据所有权是何种关系?其三,可携权与数据分享是何种关系?以下对此略作展开回答。
第一,数据可携权并不当然是作为基本权利的个人数据受保护权的组成部分。《欧盟基本权利宪章》(EU Charter of Fundamental Rights,下称“《宪章》”)第8条规定了作为基本权利的“个人数据受保护权”。一些研究者将可携权与该项基本权利联系在一起,认为个人数据受保护权的核心目标是“强化个人信息受保护”的有效性,而这就意味着“个人对其数据拥有控制权,信任数字环境中的个人信息处理”;数据可携权就是确保个人对数据控制权的一种工具,因此其构成《宪章》第8条规定的基本权利的内容。但是,《宪章》第8条虽规定了与《一般数据保护条例》规定中相对应的其他权利,例如知情、同意、查询、救济等权利,却并没有清楚地提到数据可携权或个人对数据的控制,因此无法从《宪章》第8条的规定中直接推导出个人数据可携权的规范内涵。
同时,数据可携权也不是数据查询权或访问权在逻辑上的必然延伸,虽然两者在增强个人对数据的获取能力上有一定的关联,但在适用条件与功能上仍存在较大差异。一方面,从适用范围与条件上看,数据可携权使数据主体能够获得一份供自己使用的副本,并以“结构化的、普遍可用的和机器可读的”格式将数据传送给另一个控制者,这其实是专门运用于数字环境中的。并且,与普遍适用的查询权或访问权相比,数据可携权只适用于少数情况,它只能针对数据主体向数据控制者“提供”的数据,而不是与数据主体相关的所有数据。另一方面,从功能上看,与知情权类似,《宪章》规定的数据访问权,主要目的是规范数据处理行为,对个人提供程序性的保护,并未直接体现出促进数据携转、迁移与流通的内涵。实际上,数据可携权在欧盟原有法律中并没有直接的权利依据,由于其服务于快速发展的电子环境下的数据携转目的,因此在欧盟被归类为“全新权利”,而不是从《宪章》第8条中可以直接推导出的权利。
第二,数据可携权也不意味着数据主体对其数据的所有权。数据携转所对应的数据可复制和可迁移性,并不是财产权的必要特征;可携权并不具有排他属性,因而并不涉及产权逻辑。虽然可携权在一定程度上使得个人可以基于自身权益的需要解除数据控制者对其个人数据的独占性控制,但这并不意味着个人可因此而获得对其数据的所有权性质的控制性权利。从权利行使的功能及后果观察,可携权的行使并不能使个人自主地、独占或排他性地支配其个人数据;而且,从权利行使的条件看,个人数据的携转也不是仅凭借个人请求便能够普遍实现的。
第三,从数据共享中的个人角色观察,可携权实际上彰显了数据利用活动中个人角色的强化,使个人在积极的参与中获得数据流动带来的便捷、高质量的服务。《个人数据可携权指南》指出,“数据可携带的目标是强化个人对数据的控制并确保他们在数据生态系统中扮演关键的角色”。也就是说,要从整个数据生态系统的主体间关系角度来理解可携权的“控制属性”,即数据可携权旨在增强主体对数据移转与再利用行为的控制,而不是增强对个人数据的控制。因此,对数据可携权的功能,更为贴切的描述应当是使数据主体参与并受益于数据自由流动,让个人成为数据共享和再利用的积极参与者和受益者。在社会意义上,这种共享与再利用也可减少使用者共享数据的成本,促进更优水平的数据共享,进而促进数据驱动的数字经济发展和社会福利。
3. 可携权对公平竞争的促进
欧盟《个人数据可携权指南》中明确指出,可携权“将支持个人数据的自由流动并促进数据控制者之间的竞争”。从这个意义上说,数据可携权在一定程度上可以缓解数据主体的“锁定效应”,从而促进竞争。事实上,数据竞争是现代企业竞争的重要部分,各企业通过产品、技术和服务的优化与创新来改善用户体验,吸引用户投入,进而获得更多用户和数据,本是一种良性竞争形态;然而,具有支配能力的数据控制者往往会在数据存储与利用过程中通过技术、资本、知识、话语等力量,使数据主体无法轻易携转个人数据,导致用户锁定(lock-in)。可携权的支持者相信,数据可携权有助于破解这种竞争困局,可以鼓励数据控制者通过创新、改进用户体验、提升个人数据保护力度等方式而赢得用户;而对中小企业而言,数据可携权使它们进入各种平台和领域等门槛大大降低,竞争环境得以改善;小企业可以通过运营模式服务创新将原来属于大型企业的客户和数据吸引过来,因而可改善市场竞争生态。由此,数据可携权的目标与竞争政策在某种意义上是一致的,消费者可从数据可携权的制度安排中受益,而这种权利安排也优化了市场竞争环境。
(二)数据可携权可能引发的问题
在理论层面,数据可携权的观念和实践仍面临质疑和批评;实践中,个人信息可携权也会遭遇适用风险与利益冲突难题。归纳而言,对可携权的质疑与批评及所指涉的问题主要有以下几个方面,在制度构建时须加考量。
1. 个人数据承载着复杂的利益关系
个人数据的处理过程融合了相当多的公共性因素,并不仅仅涉及数据主体与控制者关系。基于个人数据在内容上的交互性与公共性,个体行使可携权将使个人数据所联结的第三人的隐私权、企业的知识产权和商业利益遭受影响。
一方面,可携权的行使可能与他人的隐私权和个人信息权益产生冲突。这一点尤其表现在社交平台领域——个人私密行为和信息往往处于和他人的交互关系网络中,这导致了个人数据的“多重链接”。在社交平台上,用户产生的数据很大一部分都是涉他数据,如多数人的合照、聊天记录、朋友圈的点赞和评论互动等,对这种数据的迁移势必影响到他人利益,这导致数据控制者很难确定对个人行使数据可携权的请求是否应作出响应。例如,一个数据主体单方面行使可携权,可能会剥夺其他人行使删除权或撤回同意权的机会。因为个人行使可携权后,与该数据相关联的第三人若要请求数据控制者删除相关数据,此时删除权的行使实际上受到了限制。也正是考虑到这些风险和对第三方的不利影响,《一般数据保护条例》在关于数据可携权的条款中明确规定,可携权的行使不能影响被遗忘权(删除权)的相关规定,也不能对他人的权利或自由产生负面影响。
另一方面,可携权的行使也会带来知识产权和商业秘密方面的风险。理论上而言,企业所收集的个人数据经算法处理后可能已经符合企业商业秘密的保护标准,如果这些数据被携转到另一个数据接收主体,作为竞争者的数据接收主体不仅可以从这些数据中获得“搭便车”效益,甚至可以反向破解原数据控制者的数据挖掘技术或算法等商业秘密,从而产生相应的商业或法律上的风险。
2. 个人数据迁移过程的流动性风险
可携权在促进数据流动性的同时,也带来了额外的个人信息安全风险。在数据携转的启动环节,最为突出的安全问题是身份验证问题,实践中不乏假用户之名行使“数据可携权”,进而侵入用户私人生活的情形;在数据携转过程中,为了确保数据的互操作性,数据控制者在收集和处理数据时需要应用更加复杂的程序和软件,数据处理系统需要具备更多的访问接口,允许更多类型的系统连接并以更少的限制来处理数据,这些都无形中增加了个人数据遭受潜在攻击的风险,为恶意攻击者利用数据或注入错误代码提供更多机会。此外,还应该注意的是数据携转的频次和数量问题。从实践观察,个人信息权利束中查询权、复制权的行使往往可能是一次性的,个人要求提供特定的信息,并获取有限的数据;而可携权被引入后,个人在某个处理者服务周期内的所有数据与服务可以一次性下载并传输,因而面临风险的个人数据数量要大得多。
个人数据的携转同时还可能带来数据价值减损和数据滥用的风险。个人数据处理本身就是一个虚拟身份再创造的过程,个人数据在不同处理者之间高频次的转移不仅容易导致下游的数据接收者模糊取得用户同意、进行大规模个人信息抓取等侵害个人信息权益行为,还意味着转移的数据容易脱离既有的价值网络,无法确保同样的数据在另一个竞争性平台上获得原有价值,这就抑制了个人信息主体携转个人信息的意愿和动力。还应当注意,平台差异带来的信息不对称也可能加剧潜在的数据滥用风险,数据接收者可能利用个人在数据携转中的能力分散化及信息不对称等弱点,对个人信息主体进行压制,甚至侵犯个人尊严。
3. 可携权未必有利于技术创新
欧盟《一般数据保护条例》第20条为个人数据的携转设定了“机器可读、普遍可用、电子化”等要求,以促进数据的互操作性,并且将可携转的个人数据范围限定在“自动化处理的数据”。但这些规则在一定意义上可能对技术创新产生潜在的抑制效应。首先,数据迁移要求数据处理活动按照一定的标准进行并具有“互操作性”,但一旦确定了一个标准,新技术、新标准的运用可能就会受到限制,因为市场参与者将倾向于提供符合统一标准的产品和服务。其次,可携权适用所带来的高昂成本,可能对数据控制者进一步研发技术和利用数据的动力产生抑制。例如,《个人数据可携权指南》指出,数据控制者在考虑以何种数据格式提供数据时,应当考虑数据主体再利用该数据的场景,以有利于实现用户的数据再利用目的。这直接带来的问题是,对数据控制者作出如此之高的要求,是否已经超出了个人数据保护法的边界?数据控制者不仅要担负保护用户数据的责任,还需要考虑到个人对数据的后续利用,甚至进一步要为第三方对数据的后续利用扫清障碍,这实际上是要求数据控制者投入大量成本为他人做嫁衣,违背市场的经济理性。
4. 数据可携权可能损害公平竞争秩序
在数据可携权对数字市场公平竞争的效果方面,主要存在以下两方面批评。一方面,个人数据可携权是一项普遍的权利,这意味着可携权对市场中所有的数据控制者都提出了数据可迁移的要求及相关义务,这大大提高了后发企业、中小企业的合规门槛,且有可能压缩其发展用户的空间。首先是合规的成本负担问题。已有实证研究表明,可携权将可能给软件和应用程序的供应商带来大量成本。虽然这种成本对大公司来说可能没有压力,但对初创的小企业来说可能构成巨大的技术和成本压力。其次,促进个人数据处理系统的互操作性,虽然出发点是为了便于个人信息的携转迁移,但也可能激励数据处理者通过兜售自身隐私和数据保护政策而获得竞争优势的策略性选择。一些学者担心,如果强制要求数据可携性,可能导致“隐私保护过度攀比”的情况,企业将竞相开展高投入、具有更高宣传效果的隐私保护方案,造成无谓的成本消耗,反过来造成数据利用效率及数据流动性的降低。
另一方面,可携权的不当行使可能引发数据格式与技术标准的锁定,导致企业在竞争中受到过度束缚。在目前大型数据平台已经拥有技术优势和主要市场份额的情形下,中小企业为实现数据可携功能所开发的系统,往往只能向大型数据平台的技术标准看齐,这导致了中小企业不得不受制于主导型的技术标准,处于很不利的竞争结构中。尤其需要考虑的一种可能性是,数字市场原有的大公司、巨型平台之间可能协作开发实现可携权的数据传输系统,而中小企业则由于缺乏资金、能力和话语权来加入这一协作行动,这可能导致数字市场与数据流通的集中化与封闭化。
应该看到,当代竞争法历经百年发展,已经形成了一套较为严密和成熟的基础理论,它不仅考虑到了用户的锁定成本,也考虑到了适当的锁定还会带来一定的消费者福利;一定的转换成本其实也可以鼓励对新技术的投资,从长期来看或许是有效率的。因而,如果可携权的适用范围过广、标准不当,反倒可能使诸多有利于消费者长期利益的商业模式受到抑制。就此,政策制定者需要进一步斟酌可携权与竞争法的协调衔接,避免数据携转反向损害数字市场的公平竞争。
(三)可携权的性质及功能定位
围绕可携权利弊的讨论,可以让我们看到该项权利所涉及主体的多元性、利益的复杂性、规则设计和利益分配的挑战性。这项权利关涉到数据治理中多元价值和利益协调。应该如何把握可携权规则表达与体系化建构的逻辑?更具体来说,在国家主导的个人数据治理框架中,应当如何定位可携权的性质及功能?
1. 可携权在个人信息权利束中的定位
个人信息可携权具有复杂的内涵,很难单纯用个人对其个人数据的自主决定或所有权主张来解释。其实,相比于对抗数据控制者、自主管理数据使用的个人决定权来说,数据可携权同时也是数据治理框架下协调数据保护、数字市场竞争与技术创新的一项规制工具。这项工具与个人信息保护法赋予个人的知情权、决定权、查询权的性质及功能并不相同。
在立法维度,《一般数据保护条例》在背景引言第68条部分解释数据可携权时,使用了“鼓励”这一措辞,这本身就意味着发展兼容性、互操作性的数据和系统格式,并不是数据控制者的法定义务。在大洋彼岸,美国科学和技术政策办公室(Office of Science and Technology Policy, OSTP)在2016年进行的咨询研究认为,应鼓励但不应强制推行更普遍的数据可迁移计划,这也体现出审慎性态度以及对可携转义务的弱化趋势。相比之下,在这些地区,知情、同意、访问等个人数据权利都以对处理者设置明确法定义务的方式进行立法。在可携权的具体实践中,这项权利的行使更多反映了监管框架中相关个人、监管机构、行业组织、企业、公众不断讨论、协商、改进的互动关系,其强制性色彩较淡,而协商性、鼓励性色彩较浓。在权利争议发生时,裁决者也倾向于选择一个广泛的利益平衡条款,即设置开放性、灵活性的解决方案并不断调整,充分考虑未来的技术变革与市场变化。相较而言,个人数据主体的其他权利更依赖监管机构的执法保障,最典型例子的便是数据控制者违反“告知—同意”机制的行为往往面临高额罚款、声誉罚等行政制裁。
在上述讨论基础上,我们可以进一步追问,为何对可携权并未设定类似“告知—同意”机制中对数据控制者强制性、法定的义务要求?为何这项权利呈现出浓厚的倡导性色彩?要回答这些问题,还原可携权的真实性质,需要厘清可携权在个人信息权利束中的性质和功能定位。个人信息权利束是国家通过立法赋予个人进行个人信息保护的工具;但在具体的功能上,又存在程序性保护和实体性保护的差异。这意味着,对权利束中的不同权利,需要纳入相应的程序正义和分配正义框架中进行功能界定。
权利束中的知情权、决定权体现的是个人信息处理的程序正义价值,这其实也是公平信息实践的核心。从国际上典型数据保护规范的发展脉络来看,全球不同时段、各个版本的公平信息实践原则,如1980年经合组织《关于隐私保护和个人数据跨境流通指南》(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)、1981年欧洲理事会成员国签订的《有关个人数据自动化处理中的个体保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)以及1995年欧盟《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data),都设置了知情、同意、访问、更正等程序性权利。《欧盟基本权利宪章》第8条关于“个人数据受保护权”的规定,也强调“数据必须被公平处理”(such data must be processed fairly),并将同意等合法性基础以及访问、更正的权利作为个人数据受保护权的核心内涵。由此,程序正义观重视“个人—数据处理者”之间关系中的公正、公开要求,强调对个人的防御性保护,其在规范逻辑上关注“个人—数据处理者”双方关系中处理活动的公平性。
相应地,基于程序保护的需要,在实施与保障机制上,“告知—同意”代表的程序性权利在规则实践上指向一套强制性的规范和行为模式,体现了相对静态、确定、以消极保护为主要规范意旨的权利理念。这一权利理念需要将强制性规范与执法保障机制作为制度框架。我们可以发现,从个人信息处理规则的源头到处理行为展开的全过程,都存在国家监管主导的强制性纠偏与制裁机制,国家为这部分权利的运行提供了充分的组织保障、程序保障与多元责任机制,在权利实施的监督及救济层面上以维护和恢复个人数据处理的法秩序为直接目标。
相比之下,可携权并不是数据处理活动中个人信息主体的程序性权利。可携权规则及其实践体现的是数据处理、利用、流动中的各种实体利益分配,因而属于分配正义范畴,无法被完全纳入传统的公平信息实践及其相应框架。可携权凸显了新的数据治理生态中独特的理念与价值取向:一方面,在权利目标上,可携权旨在增强主体对数据移转与再利用的控制权,旨在刺激数据流动、公平竞争和技术创新,这些目标更多考虑了个人数据主体对数据“再利用”的积极控制,而非防止自身权益受侵害的消极防御;另一方面,可携权的权利结构并不局限于个人与数据处理者之间的关系,而是同时涉及到个人与个人之间、个人与数据处理者之间、处理者与处理者之间的权利义务分配关系,在宏观意义上还涉及国家在数据治理体系中对个人权益保护、市场竞争秩序、数据经济发展、社会目标实现的综合考量。因此,如何平衡多元主体之间的不同利益竞争,自然成为立法者与监管者需要协调考虑的关键。
具体而言,从可携权所涉及的利益主体间关系视角观察,可以发现四个维度上的利益竞争。第一是个人与个人之间的利益竞争。由于个人信息内容上的交互性、复合性、社会性,个人数据可携、迁移可能会给第三方的隐私和个人信息权益带来风险。第二是个人与数据处理者之间的利益竞争。可携权的行使虽然可能会给个人带来便捷性利益,但也可能给数据控制者带来大量成本与负担,造成权利义务失衡的风险。例如为了建设传输系统、验证个人身份、对传输过程进行加密等技术升级带来的成本,与免费提供数据可携服务的义务之间未必符合分配正义原则。第三是数据处理者与数据接收者的利益竞争。这种利益竞争既包括建设传输系统、完善技术设置中的成本分配问题,也包括在双方作为竞争者的情况下可能导致的商业秘密和知识产权等风险。第四是对宏观利益格局的影响。可携权的制度设计与规则实践在很大意义上将影响到整个数字市场竞争和技术创新,最终也就影响到个人、企业、公共利益和社会整体福利的分配。对上述相互竞争的利益如何权衡,正是围绕个人数据可携权的立法和实践的主要问题。
2. 可携权作为规制工具的特征
可携权背后所存在的多种利益竞争,意味着该项权利规则本质上可以作为一项规制策略,其功能在于权衡各种利益,实现数据治理中的分配正义,促进数据流通与技术创新。由于可携权的适用涉及多种利益,且不同利益和价值具有竞争性,将可携权作为一项个人信息保护规制工具,不仅应考虑其规制功能,也需在宏观和微观层面充分考虑可携权的“治理”功能。
在宏观层面,即从国家的视角来看,可携权的立法设计与监管实践,应在坚持“国家保护”这一理念的同时,重视国家作为“利益协调者”的角色。国家在强化个人参与能力、增进个人自主性和对数据处理者的制衡能力的同时,亦需促进个人信息处理全流程中多种相互联系的利益之间的协调。这意味着,在可携权的规则表达上,不应简单考虑强制性、一刀切的规则设计,而应提供一套对话、互动、权衡的利益协调框架,促进可携权所牵涉的多种竞争性利益的良性互动和平衡。国家需要根据技术发展的条件,通过规划性、动态性、演进性、灵活性的规制策略来实现可携权的价值。例如,新加坡个人信息保护委员会便计划采用发布实施规程的方式,将数据可携性义务作为分阶段的规制工具。
在微观层面,即从监管者视角来看,对于可携权的实施,监管策略应注重软法与硬法相结合、强制性规范与倡导性规范相结合。一方面,在特定的技术发展时段,某些要求(比如必须允许携转的特定数据、禁止携转的数据范围、最低安全标准等)可以是强制性的,构成数据处理者强制性的合规义务,并附随相应的制裁与纠偏机制,从而避免数据携转义务完全被虚置。另一方面,考虑到数据治理的应时性、复杂性、技术性,推行普遍化、强制性的数据可携规则可能并非良策,甚至对技术创新和产业发展产生负面影响。在制度实践初期,监管者更应当注重鼓励性、引导性的标准,赋予数据处理者在是否可携、如何携转等方面一定的选择权与自主权。也就是说,监管者需要依靠倡导性规则来“助推”特定行业对可携权的实施进行尝试、推进,即通过个人信息保护部门与特定行业的沟通与试验,在具体监管实践中不断实现个人利益、数据处理者利益与技术创新等公共利益之间的最佳平衡,进而推动可携权目标的阶段性实现。例如,国家可以鼓励和协助数据处理者从市场出发形成“最佳实践”,通过企业、学界和政府机构的共同参与,努力在特定阶段内达成一定的推荐性标准,并推动更多数据处理者参与到标准的实施与改进中。归结而言,在很大程度上,数据可携转的标准和方案应是在监管激励、引导和助推下的数据控制者内生性选择,而不应简单地成为个人信息主体权利规范所自然导向的结果。
三、分配正义框架中可携权的适用
可携权的实践涉及到分配正义,进而需要监管部门秉持利益权衡理念,通过持续的规则进化,不断进行成本收益分析与规制方式优化,以设定、动态改进、不断完善可携权的适用条件。显然,这不是一个一蹴而就的规则宣告,而是一个持续的规则进化过程。我国《个人信息保护法》第45条第3款对可携权作出规定时,在规定可携权的内容,即“个人信息处理者应当提供转移的途径”这一义务时,专门设定了“符合国家网信部门规定的条件”这一前置要件,体现了对可携权实施条件开放性、动态性特点的认知。在比较法上,不论是欧盟数据保护委员会(EDPB)、数据保护专员公署(EDPS)、信息政策与领导中心(CIPL)等机构不断发布指南与组织公众咨询和探讨,还是美国联邦贸易委员会(FTC)主导的数据行业交流与框架探讨,以及新加坡个人信息保护委员会与相关行业一起试验、寻找合适的运行机制,澳大利亚生产力委员会与澳大利亚竞争和消费者委员会(ACCC)主导的以可携权为切入点的竞争与创新政策探索,都采用了动态的方式探索可携权适用条件的具体内容、类型与方法。下文对此作简要展开。
(一)可携权适用条件的基本内容
在规则设计层面,可携权适用条件涉及到三项基本内容:可携转数据的范围,即“携转什么”;可携转数据的标准与程序,即如何携转;风险控制义务的设定与分配,即携转带来负面效应的责任如何分配。
1. 可携转数据的范围
个人数据的交互性、社会性特征,意味着个人信息携转可能引发个人信息主体与第三人的信息权益、数据控制者知识产权、商业秘密等利益的冲突,因此需要通过设定可携转数据的范围来进行利益协调。
可携转数据范围的界定如何兼顾数据控制者与数据接收者的利益?对此,欧盟《一般数据保护条例》第20条将可携转数据的范围限定为个人“提供”(provide)的数据;第29条工作组进一步将其明确为个人知情主动“提供给”数据控制者的数据以及数据控制者的“观察”数据,排除了衍生的分析数据、推测数据等,因为这些数据的产生离不开数据控制者的智力和资金投入,控制者对此类衍生数据也享有合法权益,不能完全交由用户行使转移权利。通过“提供”这一标准划定可携转数据范围,可以避免数据控制者商业竞争利益受损、合法投入生成的商业成果被数据接收者不当占有等情形,这是经过权衡抉择后的方案。与之类似,印度的数据可携规则也倾向于认为数据携转不适用于“衍生个人数据”,但其在个人提供的数据外还专门涵盖了“用户活动数据”,这相较欧盟所规定的范围有一定程度的拓展,为后续的制度实践提供了更大的解释空间。新加坡个人信息保护委员会还计划覆盖业务联系信息,因为这种数据的便携性对个人和接收组织都有价值。这体现了各国基于自身情况的考量所进行的不同范围设定。在此基础上,也有学者主张在一定条件下将可携转数据范围拓展到衍生数据,避免个人数据的价值过度碎片化;不过,数据接收者若是可以在一定范围内获取个人衍生数据,需要支付一定的对价,由数据接收者与用户合理分担;至于知识产权方面的冲突,也可以考虑通过支付公平报酬的方式进行解决。
对个人可携权与第三者的隐私利益之间的竞争如何进行平衡?尤其是在以社交信息为典型的交互性个人数据的携转时,这个问题更为突出。对此,欧盟第29条工作组划定的标准是,数据接收者所开展的数据处理活动应当仍能保证个人数据主体的唯一控制(sole control),数据接收者不应基于其商业目进行数据处理。同时,为了防止对第三方个人产生危害,应当鼓励数据控制者能够对用户数据进行剔除,以保证尽可能最小限度涉及第三方数据;或者要求获得其他数据主体的同意。不过,这一方案也被批评为过于保守。有印度研究者认为,相关数据携转争议可以在主用户和提出争议的次用户之间进行处理,不应把责任都施加到数据控制者与接收者之上;但这进一步提出一个疑问,即在具体的数据携转中,有争议的用户之间(即主张可携的用户和拒绝可携的用户)如何通过有效的机制保障其各自的权利?同时,数据控制者如果必须从用户数据中区分和提取主用户生成的数据,将带来很大的成本;也会导致社交网络被分割成更小、因而价值更低的碎片,这可能使数据携转的价值大打折扣。对此,新加坡个人信息保护委员会认为,数据接收者要完全区分数据内容并取得每一个第三方的同意是不切实际的,应当在适当的保障措施下,容许第三人的个人资料可转移,使数据携转义务“均衡、合理及切合实际”。但这种安排是否会不合理地降低对第三人的个人信息保护水平,仍需探讨。
此外,在携转数据处理的合法性基础上,《一般数据保护条例》规定可携权的行使仅仅适用于个人同意处理个人数据或根据合同处理信息的情况;其他处理情形下的可携权更强调自愿性与鼓励性,不要求立法与监管的介入。尤其是,第20条第3款规定,可携权“不适用于执行为公共利益执行的任务或行使控制者的官方权力所必需的处理”,这显然是基于避免给公共机构造成过多负担的考量,值得参考;不过,这并不排斥公共部门可将可携权作为一种柔性管理措施运用在便民服务的情景中,并在特定的合适行政领域内将数据携转明确为自身的法定职责。
综上而言,对可携转数据的范围,可以在个人明确、知情、自愿提供的个人数据的基础上,根据不同的利益权衡考量,延伸到“观察的数据”“用户活动数据”与特定场景、行业中的衍生数据;涉及第三人隐私利益的个人数据也可以在通过风险评估后,在采取适当保障措施与平衡方案的基础上进行携转。在此基础上,监管框架中应当包含一套定义明确的数据类别与数据“白名单”,区分监管的优先级别,对个人数据进行分级分类处理,为个人和数据控制者根据“数据可携性”规则携转数据的行为及后果提供可预测性和确定性。
2. 携转数据的标准与程序
在明确了可携转数据的“白名单”后,下一步需要处理的是进行数据携转的技术标准与程序要求,包括数据携转请求模型、携转时间框架、数据格式等标准、方式和程序。在欧盟实践中,这已经成为一个棘手的难题。《一般数据保护条例》“重述”第68条虽然在一定程度上澄清了“技术上可行”的界限,指出“它不应该给控制者带来采用或维护技术上兼容的处理系统的义务”,但并没有提供一套具体标准,数据控制者与接收者之间如何达成“互操作性”也并不明确。这就给不愿意进行数据迁移的数据控制者提供回旋余地;同时,差异化的标准也会引发数据携转过程中的大量分歧和冲突,不仅增加制度运行的成本,也无助于统一化、便捷流通的数据市场发展。不过,如果由监管部门设定或授权市场主导性的企业来设置统一的技术标准,也可能带来数据携转成本分配的不均衡,无法保证不同技术能力和规模的企业受到公平对待。因此,技术标准的设定将有赖于监管部门、行业利益相关者的不断沟通、试错、调适,数据可携技术标准的推进与协调必将是长期的博弈过程。例如,欧盟数据保护专员公署(EDPS)提倡,个人信息管理服务(PIMS)是实施数据可携权的“最有希望的努力之一”,因为由中介机构持有并管理消费者的可携转数据,可能更加方便、低成本、准确与中立。该倡议已在欧洲展开了艰难的探索尝试。又如,英国竞争与市场管理局(UK’s Competition and Markets Authority)要求英国最大的9家银行开发应用程序接口(API),使银行客户能够安全地与受监管的第三方分享其金融数据,以便金融服务业的竞争。这是从2018年开始实施以来已取得较为成功的尝试。
在技术标准协调推进的过程中,监管部门可对其基本要素进行约束和限定,并引入相应监督机制。第一,数据可携转性和互操作性的要求,应与数据处理的公平和反歧视义务相结合,防止数据控制者设置可携转的歧视性条件。第二,即便不颁行统一的技术标准与格式要求,监管部门也需要确定相对容易实现的最低限度数据可携性标准,防止数据可携权因技术标准缺位而被虚置。第三,监管部门可以适当考虑数据携转中的收费模式,通过向数据接收者或用户收取适当费用来弥补数据控制者的成本。事实上,免费模式并非利益权衡的合理安排,也不利于激励数据控制者为落实可携权而进行技术和资金的投入。在比较法实践中,新加坡个人数据保护委员会便享有对数据携转收费方案提供指导与审查的权力。第四,在一些情况下,还可免除未达到特定规模或技术标准的企业的数据携转义务,将其列入不负有携转义务的名单中。因为强行要求这些企业承担数据可携性义务会使其在高额成本负担中失去竞争力和生存空间,这主要是考虑对小微初创企业的规制灵活性。第五,为了解决一些平台(尤其是社交平台)上突出的网络效应问题,监管者需要考虑群体数据携转的技术标准,允许一组用户将他们共享的数据集体转移到另一个平台。
3. 风险控制义务的设定与分配
在操作的技术标准、格式与程序外,对数据携转的风险防控、安全保障义务的设定与分配也是监管策略的基本内容,这主要体现在数据传输协议、认证协议和网络安全标准当中。
这类风险控制和安全保障义务应主要配置在数据携转流程的前端,即数据控制者端,还是在后端,即数据接收者端?从比较法视角观察,对此问题的处理有不同做法。欧盟第29工作组倾向于在前端配置安保义务与风险控制责任,要求数据控制者应充分评估实施风险,选择安全系数较高的系统,并采取相应手段避免产生数据安全危险。若数据携转面临较高风险,数据控制者应当加强身份校验,如采取二次身份验证等措施。同时,数据控制者不能因采取安全措施而额外收取费用。但欧盟委员会信息政策与领导中心则认为,这种将风险控制义务集中配置于数据控制者之上的做法,不仅将减弱其迁移数据的动力,也会导致过高的合规成本,削弱其竞争能力。这一方案在新加坡的立法过程中也遭到反对,立法者更倾向于由更能从数据携转中获益的数据接收者承担所接收数据的准确、完整、安全的义务,而并不要求数据控制者承担繁琐的验证程序与数据安全保障义务。
参考比较法的既有经验,我国对数据可携权具体条件和操作制度的构建,应当注重提升个人数据携转的安全保障,但在安保义务的设定与配置方面,也要对安全风险和采取相应措施的成本进行充分评估和合理分配;在构建相互协调的技术标准的同时,推动数据控制者和数据接收者的数据安全责任边界清晰化、均衡化。在此基础上,应避免一刀切地设定过高的安全标准,防止因安全保障义务门槛过高而抑制数据可携权的实现。
(二)可携权适用条件的设定路径
可携权虽然可以更好地保护个人信息权益,激活数字治理中的竞争与创新,但运用不当也会给企业增加合规成本、产生数据安全风险隐患,影响个人信息保护和数据治理能力。因此,设计个人信息可携权适用条件应谨慎研判其可能产生的综合影响,采取理性、务实、动态调整以及立足本土的规则设计路径。
1. 部门化、场景化的适用条件设定
数据可携权涉及数据治理中安全、隐私、竞争、创新、信任等多元价值和利益的协调,在数据治理的不同领域和场景中,基于不同产业的数据内容及运行机制上的差异,利益分布及其权衡也存在不同情形。因此,需要通过情境化、场景化考察来确定利益的分布及其相互关系,根据不同领域和场景中可携权实践的特点制定相应的适用条件和规制方案。一言以蔽之,可携权的行使条件的设计,应当采取部门化、场景化、领域化的设定模式。
观察欧盟可携权的实践,可以发现《一般数据保护条例》提出的普遍性的数据可携权仍仅停留在纸面上,电信、金融,交通等不同领域的实践方案其实存在巨大差别。相较而言,美国、英国、印度则更加注重在电信、金融、交通等领域展开针对性的可携权实践,使制度设计更加契合不同数据行业的利益关系。新加坡个人信息保护委员会也计划按照相关行业的不同需求确定监管手段,颁布数据迁移的具体要求和详细标准。这也说明,有针对性的部门化路径更适宜推进可携权实践。
对此,还可以通过以下两个部门的可携权实践进一步展开分析。在电话号码的可携性方面,整体来看,携号转网具有巨大的效益和低成本。电话号码数据可携性在很大程度上可拓宽消费者选择,缓解用户锁定效应,促进竞争与创新。而在成本上,携转电话号码的隐私成本较低,网络安全风险较为可控,因此该场景在世界范围内都是可携权实践的典型领域。我国的携号转网也是启动较早、探索经验较丰富的可携权实践的试验田。相较而言,金融领域的数据可携权虽然也有利于降低用户锁定效应,但由于金融支付领域的数据携转面临数据安全风险较高、风险后果危险更大、监管难度更大等现实问题,因而可能带来的个人信息保护、数据安全、监管有效性等挑战更为复杂。实践中,美国不同的州和欧盟不同成员国基于自身不同情况,对金融数据可携权的推进力度存在较大差异。
上述分析表明,厘清不同部门和领域中可携权实施所涉及的不同利益、成本分布、监管的现实能力,是设定个人信息可携权行使条件的基础。这里也提出一个问题:我国《个人信息保护法》将可携权的实施条件及具体规则的设定权笼统地授予网信部门,这是否妥当,值得斟酌。在立法已经作出此种笼统授权之后,一个应当考虑的方案是,网信部门在制定可携权实施条件的过程中,应当与不同领域的监管部门进行充分协商,采用区分不同领域、分别推进的方式,将部门化、场景化的可携权条件设定路径贯彻到规则制定和落地的过程之中。
2. 动态化、反思性的规制策略优化
在技术标准日新月异、利益格局不断更新、风险认识能力不断发展的数据治理结构中,分配正义的实现无法仅仅依靠私人自主执行或者国家规制就能完成,也不可能通过一次性的规则供给就皆大欢喜。数据治理格局中分配正义的实现,需要反思性改进和动态调整。反思性所指的是治理结构中多元主体的交流和学习;动态化指的是根据时空变迁和场景变化而展开的策略改进,二者是有机统一的。
第一,作为数据治理结构中主导者的政府,在可携权实施的条件设置和监管权力行使中应注重沟通理性,充分注重与多元利益主体的沟通和互动,充分考虑各种利益并进行权衡。这也正是我国《个人信息保护法》第11条规定“推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境”的规范逻辑。只有充分考虑并合理权衡各种利益,才能最大程度推进公共利益的实现,保障个人信息可携权实践的有效展开。
第二,可携权条件的设计应同时注重前端设置与后续改进的“政策学习”闭环(policy cycling)。监管部门应当注重可携权实施的试点、评估和改进,对实施效果和影响定期评估并予以公开。一方面,无论是监管部门(数据保护法、竞争法、消费者保护法等监管部门)之间,还是政府与数据企业之间,在规则制定与规则实施的全过程中都应充分进行可携权实施效果和影响评估及信息共享,以保障规制政策的不断改进、增强决策的适应性和可接受性;另一方面,需要重视可携权权利主体在政策实施不同阶段的真实体验及反馈,在政策调整过程中也要平衡数据控制者或数据接收主体相对个人而言的技术、话语、信息的不对称优势,防止可携权实践异化为监管者的独角戏或者监管者与数据控制者的“合谋”游戏。
四、结论
个人信息可携权及其实践,既有可能增进个人在数据治理结构中的选择自主性和自由,促进数据流通与再利用,推动数字市场公平竞争,也可能造成个人数据联结的多元主体权益的冲突,加剧数据流动的风险,导致技术创新受阻并损害公平竞争秩序。个人信息可携权之目标的实现,有赖于进一步的规则设计和实践优化。我国《个人信息保护法》在最终出台前“临门一脚”引入个人信息可携权,这既为推动数字市场竞争与创新、优化数据治理结构提供了契机,也对数据治理中多元利益的分配正义提出了新挑战。面对这些挑战,为充分实现可携权的积极功能,需要我们在考虑可携权涉及的多元利益竞争甚至冲突的前提下,从多元利益分配正义的视角,对可携权行使的条件设定和监管策略进行具体化。
从多元利益分配正义的视角观察,可携权在功能上有别于个人信息权利束中的知情—决定等权利的程序正义功能,内蕴了对个人信息处理和数据流动利用过程中多元主体利益进行协调的规范要求,因而具有实现分配正义的功能期待。可携权的实践展开,说到底就是个人信息权益、平台数据权益、数据市场竞争秩序、数据行业发展以及数据安全等多种利益的平衡的过程。既然如此,可携权的规则设计和实践展开,就需要在充分考虑多元利益的基础上,以部门化、场景化的路径,通过动态性和反思性的过程,不断调整优化,避免一刀切和单向化的规制误区。
王锡锌,北京大学法学院教授,博士生导师。
来源:《环球法律评论》2021年第6期。
